ho sto cazzo di virus e non riesco a levarlo,ne con hijackthis,ne con cwshredder,ne con avast4 e neppure con stinger!!

che faccio?

oddio ha pigliato anche me ho appena formattato e mi tormenta. Non so se sia lui ma una volta connesso non riesco nemmeno a aprire il taskmanager :mad:

help plis :(

pare che sia riuscito a risolvere......

avvio in mod provvisoria....

scanna (:D) con cwshredder e poi con hijakthis.

poi apri msconfig e dal menù avvio togli la voce incriminata (vpc32)...

vai nel regedit e cancella tutte le stringhe contenenti il nome vpc32

e poi attiva il firewall della connessione!

come non detto.....è riapparso :(

io gli ho segato le gambine col regedit (:D). Da me era abbinato a un certo winboot32 che veniva avviato col mio user. Prova a controllare ;)

stesso problema con l'aggiunta di wuampd.exe

non riesco a toglierlo, intanto cestino IE perchè mi son rotto, vengono tutti dal web sti virus trojan.

mi ha reinfettato. credo la diffusione avvenga tramite portscan. ora mi scarico un firewall :mad:

ora mi scarico un firewall
direi che è un'ottima idea! :nonio: :yeah:

debbellati

e Ie eliminato

Ma come non c'è verso di eliminarlo?!?
Non ho proprio voglia di levare IE

io uso firefox che è molto meglio di IE e mi sono messo il sygate come protezione :)

ma si con sygate non ci sono problemi, ma quando uno toglie il firewall sto coso blocca tutto. E' uno schifo, se non se ne va io formatto.

Cmq ciao ciao IE.

ha ha ha credevo ma invece nada

ora posto il log di HijackThis


Logfile of HijackThis v1.97.7
Scan saved at 20.19.36, on 19/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
E:\programmi\qtime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Fabio\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = [ind IP]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1601.0\it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programmi\qtime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://xxxxxxx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://xxxxxxx
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://xxxxxxxxxxxx
O16 - DPF: {2D360201-FFF5-11D1-8D03-00A0C959BC0A} (DHTML Edit Control Safe for Scripting) - http://xxxxxxxxxxxxx
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://xxxxxx78
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://xxxxxxxxxxxxxxxxx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{91538D47-DC9A-4257-867B-7BC5EDB12AD3}: NameServer = 62.211.69.150 212.48.4.15



io nn so più cosa fare:muro:

Ragazzi sto virus .. gira parecchio me lo sono beccato anchio... ho risolto abilitando il firewall di Xp... ed ho Xp senza Service Pack... NOD32 non riesce ad eliminarlo e me lo da come sconosciuto nonostante sia aggiornato...

se ne avete un sample mandatemelo a fileanalysis@email.it ;)

Originariamente inviato da eraser
se ne avete un sample mandatemelo a fileanalysis@email.it ;)


scusa un esempio di cosa??? perche cacchio nn si toglie nemmeno a cannonate

Il virus ke si installa sotto il nome di vpc32.exe (C:\windows\system32)
ha accesso al sistema tramite un bug (per cui non sembra esserci alcuna soluzione a tuttora) nel servizio Server, servizio di condivisione dei files. Il virus altera le immagini di Prefetch dei programmi avviati in seguito alla sua installazione (si insinua nei file in C:\windows\prefetch). Il blocco del sistema è dovuto di solito a servizi di windows stesso, infettati, ke provano ad avviarlo in loop da tutte le posizioni possibili. Per prevenire l'infezione, possibili soluzioni sono:
disattivazione del servizio Server (pannello di controllo - servizi di amministrazione - servizi) e installazione di un firewall qualsiasi (anke quello di win funge)

Per rimuovere il virus invece, killare il processo vpc32.exe, eliminare le chiavi di registro tramite il programmino Startup o manualmente tramite Regedit (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce)
ed eliminare i prefetch dei programmi eseguiti dall'inizio dell'infezione (C:\windows\prefetch); riavviare il sistema e sperare in un veloce aggiornamento da parte di M$ e antivirus.

Altra soluzione è passare a Linux :D

..non avevo cancellato tutti i prefetch :)

ma non serve a nulla cancellarli già fatto molte volte

Originariamente inviato da Dante_Cruciani
scusa un esempio di cosa??? perche cacchio nn si toglie nemmeno a cannonate

un sample del file vpc32.exe

c'è qualcuno che può mandarmi una copia di uno di questi file infetti (vpc32.exe, winboot32.exe, wuampd.exe, od un altro qualsiasi) a inviaqui@email.it???

Originariamente inviato da MrOZ
c'è qualcuno che può mandarmi una copia di uno di questi file infetti (vpc32.exe, winboot32.exe, wuampd.exe, od un altro qualsiasi) a inviaqui@email.it???

avvoltoio :D mettiti in fila :D

mi trovo coinvolto pure io con questo virus..., avevo disattivato per pochi minuti il Norton Internet Security e dopo poco tempo sono iniziati i problemi....
Adesso ho bloccato il file settando il Firewall di Norton e non mi da nessun problema anche se come virus non mi viene riconosciuto.
Provo la procedura consigliata da Deskmat..., speriamo bene.:eek:

Originariamente inviato da eraser
avvoltoio :D mettiti in fila :D


Caro, io sono arrivato prima di te :fuck: :fuck: ... esattamente oggi pomeriggio :ciapet:



io agisco anche nell'ombra, non spudoratamente alla luce del sole come fai tu :D

Ragzzi anke da registro nn trovo nessuna voce corrispondente e sono disperato, il PC va lentissimo (soprattutto la connesisone) e nn c'è modo di toglierlo e/o trovarlo con nessun anti troian...

:cry: HEEEEELPPP!!!!

Originariamente inviato da MrOZ
Caro, io sono arrivato prima di te :fuck: :fuck: ... esattamente oggi pomeriggio :ciapet:



io agisco anche nell'ombra, non spudoratamente alla luce del sole come fai tu :D

tsk....se avete bisogno di me sapete dove trovarmi :O :D :D

fatto tutto....il problema persiste

Originariamente inviato da eraser
tsk....se avete bisogno di me sapete dove trovarmi :O :D :D

...lasciatelo in pace in mezzo al letame allora :ciapet: :ciapet:

Anche a me dà questo problema: mi appare vpc32.exe in run e runservices nonché in D:\WINDOWS\system32.

Mi provoca un completo blocco del sistema (mi impedisce persino di disconnettermi) costringendomi a resettare. E il bello è che quando mi illudo di averlo tolto con hijack, kaspersky ecc., dopo un pò rispunta sempre!!

ps Uso Firefox...

Originariamente inviato da Stalker
Anche a me dà questo problema: mi appare vpc32.exe in run e runservices nonché in D:\WINDOWS\system32.

Mi provoca un completo blocco del sistema (mi impedisce persino di disconnettermi) costringendomi a resettare. E il bello è che quando mi illudo di averlo tolto con hijack, kaspersky ecc., dopo un pò rispunta sempre!!

ps Uso Firefox...
idem...non vuol sapere di andarsene

io di sample ancora non ne vedo nella mia e-mail :O senza sample non posso fare niente :rolleyes:

io con il firewall a manetta non ho problemi,dato che l'ho tolto ma se abbasso la guardia mi secca,se serve me lo prendo e lo mando.

basta che qualcuno me lo mandi :D

Io nn riesco a mandartelo Eraser, ci ho provato stamattina... ragazzi qualcuno ke manda ad Eraser il file???

Su ke magari ci da una mano ;)

Originariamente inviato da superdavide
Io nn riesco a mandartelo Eraser, ci ho provato stamattina... ragazzi qualcuno ke manda ad Eraser il file???

Su ke magari ci da una mano ;)
dove hai trovato il file?

ma siete riusciti a killare vpc32.exe ?

si,e con il firewall va senza problemi


vai nel registro lo cerchi e lo killi, poi disattivi il ripristino delle configuarazioni di sistema,lanci un bel antivirus(avast per me) ed io ho lanciato una fix scaricata dal sito da qui

http://vil.nai.com/vil/stinger/ .
alla fine metti su il firewall e vai tranki,poi se nn bastasse non avendo i service pack ho scaricato un po di roba dal sito microsoft per la sicurezza(non servirà ma ho provato di tutto),e cosa fondamentale sega IE

Originariamente inviato da Dante_Cruciani
si,e con il firewall va senza problemi


vai nel registro lo cerchi e lo killi, poi disattivi il ripristino delle configuarazioni di sistema,lanci un bel antivirus(avast per me) ed io ho lanciato una fix scaricata dal sito da qui

http://vil.nai.com/vil/stinger/ .
alla fine metti su il firewall e vai tranki,poi se nn bastasse non avendo i service pack ho scaricato un po di roba dal sito microsoft per la sicurezza(non servirà ma ho provato di tutto),e cosa fondamentale sega IE


Io da registro nn ho torvato niente :( , come si disattiva il ripristino delle config di sistema?

Cmq il file manualmente nn riesco a trovarlo, xkè altrimenti l'avrei mandato ad Eraser... :muro:

vedete qua http://www.ilsoftware.it/av.asp?ID=147

da me sembra funzionare (x ora...)

Kaspersky, una volta attivato, mi dice:" Attention! A backdoor detected.

Object D:\WINDOWS\SYSTEM32\VPC32.EXE is a backdoor Backdoor.Rbot.gen"

Solo che non riesco a trovarlo più né da registro né nella cartella indicata.

Comunque col firewall di xp attivo per ora non ho più alcun blocco di sistema, anche se il problema rimane.

un sample è stato inviato,ora mi tocca fare tutta la tiritera per toglierlo:cry:

anche io nel club degli infettati :muro:

Ke centra questa pagina con il vcp32.exe?

Originariamente inviato da Buffus
vedete qua http://www.ilsoftware.it/av.asp?ID=147

da me sembra funzionare (x ora...)


Questa...

McAfee AVERT Stinger Version 2.3.9.0 built on Aug 16 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Aug 16 2004.

Ready to scan for 46 viruses, trojans and variants.



Scan initiated on Mon Sep 20 22:54:10 2004

C:\WINDOWS\Temp\trz21.tmp

Found the W32/Sdbot.worm.gen.g virus !!!

C:\WINDOWS\Temp\trz21.tmp has been deleted.

Number of clean files: 52507

Number of infected files: 1

Number of files deleted: 1

riporto il log della fix STINGER che va ad eliminare il wuampd.exe
che si trova in C:\WINDOWS\system32\wuampd.exe
----------------------------------------------------------------------------

non avendoci pensato ho lanciato al fix,e nel frattempo stavo imviando l'email

Anch'io ho lo stesso problema e devo dire che è il virus più fastidioso tra tutti quelli che ho preso da quando ho il computer...

Potreste spiegare come si fa a disabilitare il ripristino delle configurazioni di sistema come avete detto?

Considerando che ora non mi fa accedere al pannello di controllo...che due balle...

A me stinger nn ha trovato nulla :(

per disabilitare il ripristino delle configurazioni si deve fare:
tasto dx Risorse del Computer--->Propietà------>andate nella sezione Ripristino configurazioni di sistema e DiSABILITATE flaggando il riquadro


i file da eliminare almeno nel mio registro:
services.exe, spoolsv.exe, wuampd.exe e tutti quelli che vi sembrano strani e se lo sono googolate e vedete a che corrispondono


http://img37.exs.cx/img37/33/configurazione.jpg


http://img37.exs.cx/img37/7019/task1.jpg

Stica, sul task manager mi spuntava vcp32.exe e l'ho tolto dall'esecuzione.... però come si toglie dal sistema! :(

Allora ho fatto come hai detto

Ho fatto così

- via processi sospetti da TaskManager
- via vpc32.exe dal registro
- disattivato ripristino...
- scan con stinger
- attivato kaspersky antihacker
- scan positivo con hijackthis

Ora vediamo come va il tutto. Speruma in ben!

emmm raga io ho fatto la cosa + easy .... task manager ... ho killato il vpc32.exe e poi sn andato dove risiedeva fiskamente (c.\win\system32) e lo sfanculato nel mio bel cestino .... amen pace all'anima sua ...riavviato tutto ok nn viene + carikato amen! Non so qualkuno diceva che gli si blokkava pure il task ?? Cmq eè entrato pure a me x 5 min che ho tiratò giù il firewall ! azz che falchi! :eek:

La procedura che ho usato io:
1- Non collegarsi (se ti colleghi può succedere che non ti apre il task)
2- Aprire il Task e terminare il processo
3- Andare nella directory dove risiede il file e eliminarlo
4- Aprire il registro e eliminare tutte le voci collegate al file vpc32.exe
5- Eliminare tutto il contenuto nella directory x:windows\prefetch
6- Mettere un firewall (non so come funzionano gli altri ma quello in quello della Norton puoi dire di non fare collegare un programma specifico, io ho settato di non far mai accedere il programma vpc.exe a Internet)
7- Non perdere tempo con antivirus vari, nessuno di quelli che ho provato l'ha riconosciuto (Norton Antivirus 2004 - AVG - Panda Online)

Spero di essere stato utile a qualcuno.

XKè nn lo trovo fisicamente su WIn???? grrr

Cmq da task manager prima di collegarmi lo killo e il pc va abb bene...però vorrei toglierlo..

Io non ho trovato il file e non l'ho cancellato (a parte Wuampd che Avast mi dava come infetto e che ho fatto cancellare a lui)...in ogni caso non ho ancora avuto alcun problema, quindi penso che il metodo utilizzato lo levi dalle palle.

Originariamente inviato da superdavide
Questa...

con quella soluzione ho risolto

Originariamente inviato da Dante_Cruciani
un sample è stato inviato

a chi?

soluzione:


Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task. Cerchiamo ed eliminiamo (anche dal cestino) il file SCVHOST.EXE dalla %SysDir%.

Portarsi in

Start>Esegui scrivere regedit e dare l'OK, per poterci portare nelle chiavi "Run" e "RunServices" dobbiamo cliccare sui + di

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices

cliccare sulla cartellina gialla della chiave "Run" e della chiave "RunServices", nella finestra di dx cliccare di dx sul valore Microsoft Update Machine = "scvhost.exe" e successivamente su Elimina.
--

Ripristrinare i valori modificati dal worm nelle chiavi:

VALORE MODIFICATO: HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\ EnableDCOM = "N"
VALORE ORIGINALE: HKEY_LOCAL_MACHINE\Software\Microsoft\Ole\ EnableDCOM = "Y"
--

VALORE MODIFICATO: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ restrictanonymous = "dword:00000001"

VALORE ORIGINALE: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ restrictanonymous = "dword:00000000"


Riavviare il computer.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato.

ho eliminato l'exe però nel registro era tutto aposto,nessun valore modificato,è normale?

Scusate come faccio a sapere quale è la mia SYSDIR? Come faccio a sapere il valore delle variabili di ambiente? Nel pannello di controllo (sotto Sistema/Variabili di Ambiente) non ho trovato questa variabile.

Originariamente inviato da easyand
ho eliminato l'exe però nel registro era tutto aposto,nessun valore modificato,è normale?


Lo stesso anke a me, eropieno di voci con vcp32... ma le varialbili erano ok. Nel task nn compare più, anke se ho un fottio di exe ke nn so cosa siano. Speriamo bene. ;)

Grazie Buffus! ;):sofico:

:( mai pregato tanto per un file :D

io per fortuna non ho nessun processo strano nel task manager

Originariamente inviato da eraser
:( mai pregato tanto per un file :D
orpo ancora con sto file!! :D
ma se abbiamo detto circa 6000000 volte che non si riesce a trovare? :p

Sto 'stardo de virus... ancora è in giro !

E cmq le protezioni Buffer overflow non funzionano...

Originariamente inviato da Buffus
orpo ancora con sto file!! :D
ma se abbiamo detto circa 6000000 volte che non si riesce a trovare? :p

non pensi sia un pò strano che è in esecuzione ma non si trova? ;) Se è in esecuzione da qualche parte c'è ;)

infatti ho scritto non si trova...no che non c'è ;)

le voci sul registro relative a sto file che percorso seguono?

HKEY_USERS\S-1-5-21-583907252-1645522239-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

dentro qui chiamato vpc32.exe....molte volte descritto come "windows update"........

Appena spediti:

vpc32.exe (D:\WINDOWS\system32)
wuampd.exe (D:\WINDOWS\Prefetch)

a MrOz ed eraser

;)

oh raga io non lo trovo....:eek:

http://img73.exs.cx/img73/1811/vpc32exe.jpg

http://img88.exs.cx/img88/4678/CaptureWiz013.jpg

:ncomment: :ncomment:
:D

si tratta di una variante della backdoor rbot

http://www.pestpatrol.com/pestinfo/b/backdoor_rbot.asp


fate un riassunto di tutti i sistemi che avete già utilizzato x eliminarla e che non hanno funzionato.

grazie stalker :)

per ora (visto il sonno) posso confermare il metodo di rimozione.
Aprire il task manager e killare il processo vpc32.exe

Andare sulle seguenti voci del registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

e cancellare la voce "Microsoft Update"="vpc32.exe"

Infine cancellare il file vpc32.exe sotto la directory di sistema

WINDOWS XP: "C:\WINDOWS\system32"
WINDOWS 2000: "C:\WINNT\system32"

Infine riavviare.

Cmq è una variante del worm RBOT, si connette ad un server IRC, non so quale c'ho sonno non ho voglia di starlo a disassemblare ora :D:D:D

Originariamente inviato da MrOZ
si tratta di una variante della backdoor rbot

http://www.pestpatrol.com/pestinfo/b/backdoor_rbot.asp


fate un riassunto di tutti i sistemi che avete già utilizzato x eliminarla e che non hanno funzionato.


sempre in mezzo stai eh :D :D

Originariamente inviato da eraser
sempre in mezzo stai eh :D :D

eh... certo :fuck: :fuck:

:D :D

mica posso lasciare tutto a te lo spazio x fare la primadonna :ciapet:

Ciao a tutti.
Innanzi tutto vi ringrazio per l'aiuto che mi state dando con questo problema del trojan vpc. Stavo diventando matto:muro:

Volevo sapere se si potevano riassumere procedure e consigli per evitare questo fastidiosissimo problema.
Anche perchè vpc32 sembra eliminato ma a volte torna "misteriosamente".....

Grazie in anticipo per l'aiuto e la pazienza.
Vi voglio bene:D

anche io credo di essere infetto da questo virus xrò una cosa...
a me il pc va bene, non mi rallentra internet, mi apre tutto come il solito ma una cosa.. ogni volta che apro IE mi carica come pagina iniziale un motore di ricerca porno! Se lo tolgo e metto google poi dopo 5 minuti ritorna e mi mette anche ina decina di collegamenti PORNO ai preferiti.

Ho fatto sis spybot che hijackThis. Il primo mi rileva deglie rriri che li correggo e dopoo 5 minuti se rifaccio lo scan riappaiono, mentre il secondo mi trova questa roba qua che adesso posto xchè non so cosa farci.

Logfile of HijackThis v1.98.0
Scan saved at 18.04.51, on 22/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\winsysi.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Ale\Desktop\Programmi vari\HijackThis (Anti Spyware ecc ecc).exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{11D7D7F8-D6ED-4542-AB32-4E75810CC6D2}: NameServer = 217.141.255.204 151.99.125.1

Mi fate sapere oltre a che fare anche se ho dei trojan, virus e cazzate varie? Grazie.

Originariamente inviato da Stalker
http://img73.exs.cx/img73/1811/vpc32exe.jpg

http://img88.exs.cx/img88/4678/CaptureWiz013.jpg

:ncomment: :ncomment:
:D
prendetemi pure per pazzo,ma da me non c'è!!:eek:

edit:trovato :D

http://img88.exs.cx/img88/4678/CaptureWiz013.jpg

non è questo, si trova sempre all'interno di system32

quello ritratto nella foto si trova in windows\prefetch

Originariamente inviato da Dante_Cruciani
http://img88.exs.cx/img88/4678/CaptureWiz013.jpg

non è questo, si trova sempre all'interno di system32

quello ritratto nella foto si trova in windows\prefetch
Boh, io in system32 non ho trovato alcun wuampd.exe... :boh:

Comunque ho provato a scansionare i due file e in effetti kaspersky mi dà come infetto solo vpc32.exe (mi chiede di eliminarlo, peccato che poi rispunta sempre...:rolleyes: ).

Attualmente l'unico modo per tenerlo a bada è attivare il firewall di xp: se lo tolgo, si rifà vivo...

fa come dice eraser...funziona ;)

Originariamente inviato da Buffus
fa come dice eraser...funziona ;)
Cioè togliere vpc32.exe dal registro e da system32?
E' la prima cosa che ho fatto...

azz mi si è ripresentato......:(

Qualcuno sa come si diffonde? Anche io ho notato che a volte riappare (nonostante lo abbia cancellato sia nei registri di sistema che fisicamente con il comando "cerca") specie quando si è connessi su internet.
Eliminare Internet Explorer e usare, che ne so ad es., Opera.....questo può essere utile?
Ho provato anche a formattare, ma ritorna sempre.....se capissi come si diffonde forse riuscirei ad evitarlo.

eliminare explorer è SEMPRE una buona cosa :D

cmq io uso firefox e il virus ce l'ho lo stesso.....

Quindi non dovrebbe dipendere dal tipo di browser che uno usa.....porka paletta.
Possibile che l'unico sistema sia di attivare il firewall di Xp? :cry:
Intanto mi tokka riformattare, e non è bello.....

formattare non serve lo elimini,fai tutto quello che c'è da fare,metti un bell'antivirus,un firewall coi co........... e seghi IE.Poi aspetti che esca una fix.......... di più ninzo!!!!!!!

lo so che sono duro ma scusatemi...

io nel task manager ho come applicazione avviate un file chiamato lsasser.exe e 4 volte avviato il file svchost.exe

ma lsasser e scvhost sono virus o no?
ho norton 2004 e avast4 ma non mi trovano niente.

se provo a chiudere lsasser mi dice impossibile chiudere l'applicazione. Se chiudo un qualsiasi scvhost allora mi viene l'errore che mi dice "errore RPC riavvio del computer in corso tra 60..59..58...57

Non riesco a capire se sono virus o no. E se lo sono "che virus sono" e magari come faccio ad eliminarli.ù


Grazie

Originariamente inviato da Dante_Cruciani
formattare non serve lo elimini,fai tutto quello che c'è da fare,metti un bell'antivirus,un firewall coi co........... e seghi IE.Poi aspetti che esca una fix.......... di più ninzo!!!!!!!

Ok allora lo elimino dai registri del sistema, metto un bel antivirus (norton antivirus 2004 va bene?) e abilito il firewall di Xp.
Tolgo anche Internet Explorer e lo cambio con....Opera?
Grazie per i consigli.:yeah:

Originariamente inviato da ale$$io
lo so che sono duro ma scusatemi...

io nel task manager ho come applicazione avviate un file chiamato lsasser.exe e 4 volte avviato il file svchost.exe

ma lsasser e scvhost sono virus o no?
ho norton 2004 e avast4 ma non mi trovano niente.

se provo a chiudere lsasser mi dice impossibile chiudere l'applicazione. Se chiudo un qualsiasi scvhost allora mi viene l'errore che mi dice "errore RPC riavvio del computer in corso tra 60..59..58...57

Non riesco a capire se sono virus o no. E se lo sono "che virus sono" e magari come faccio ad eliminarli.


Grazie
non sono virus...stai tranquillo ;)

Ancora nessun fix o una procedura che funzioni per questo worm?
Ho 2 amici che stanno uscendo pazzi :D

e che sono?

e comem ai scvhost l'ha avviato 4 volte.





Ps. il virus si chiama svchosts.exe vero?

Originariamente inviato da ale$$io
e che sono?

e comem ai scvhost l'ha avviato 4 volte.





Ps. il virus si chiama svchosts.exe vero?

Sono normali processi di WIndows, il virus è vpc32.exe :)

Originariamente inviato da ale$$io
e che sono?

e comem ai scvhost l'ha avviato 4 volte.





Ps. il virus si chiama svchosts.exe vero?


IL FILE DI WINDOWS è SVCHOST.EXE , SCVHOST non è un file di sistema, di solito è virale

Originariamente inviato da MrOZ
IL FILE DI WINDOWS è SVCHOST.EXE , SCVHOST non è un file di sistema, di solito è virale

Penso che abbia solo sbagliato a scrivere :)

Originariamente inviato da Ikozzo
Penso che abbia solo sbagliato a scrivere :)

Lo penso anch'io, ma è meglio non creare confusione ;)

Ciao a tutti...ancora non è uscito nulla x bloccare questo virus?!?
Perchè mi tocca tenere attivo il firewall ma come sapete con alcuni programmi è meglio disabilitarlo...:p

Una curiosità: Per caso tutti quelli che sono stati infettati usano mIRC?

Per facilitarvi il compito di riconoscere i processi dannosi da quelli prorpi di sistema vi posto il link di un sito molto utile

http://www.processlibrary.com/

Ho letto con attenzione il forum dedicato al maledetto vpc32.exe.
Diversi amici sono "appestati",mentre altri,compreso il sottoscritto,ne sembrano immuni!
Tra l'altro ho viaggiato senza problemi pur essendo connesso 24ore su 24 senza firewall e antivirus!!!!,solo da poco me ne sono dotato (nod32,e sygate),ma la scansione di controllo non ha rilevato virus,e tutto funzia OK!!!
Ho notato,con sorpresa che tutti gli immuni usano connessioni internet con provider libero,mentre tutti gli appestati sono serviti da alice.
Questa può essere solo una coincidenza,ma tutti gli alice se lo beccano dopo pochi secondi di connessione,anche dopo format!!!

Voi che provider usate????

io alice

Voi che provider usate????
La teoria di Alice, trova conferma nel mio caso....

Ma...............................

Una curiosità: Per caso tutti quelli che sono stati infettati usano mIRC?

...ho pensato che dipendesse anche io dal Mirc, perchè ogni volta che mi collego il firewall della Norton mi dice " Tentativo di Intrusione......"

Una volta che avevo il firewall disattivato, è successo il casino, cmq sono passati diversi giorni e problemi zero da quando l'ho rimosso alla mia maniera

no,nessuno dei pc infetti che ho in cura,usa mIRC.
L'unica cosa in comune,è il provider alice.
Il problema,e che se lo beccano subito dopo la prima connessione,anche dopo un format.
Mentre al contrario, chi ha libero,(4 amici),sembra del tutto immune!
In ogni caso,per gli infettati,ho risolto il problema mediante l'applicazione dei suggerimenti di questa discussione.
Mi è solamente restato questo dubbio!!
Ma forse è solo una coincidenza.

Non credo che il problema sia dovuto al provider "Telecom".
Ho due pc, entrambi con "Alice": su uno (quello che sto usando adesso) è colpito da vpc32, l'altro no.......

Il problema è che nonostante l'eliminazione dai registri di sistema, questo bastardo si ripresenta con una periodicità impressionante......
Help:(

ma un firewall tirato su no???????????
se stai riparato nn prendi nulla o non parte nulla;)

scarica un bel sygate free e va tutto bene; be certo finche non tirano fuori qualche cosa che lo estirpi:cry:

Originariamente inviato da Dante_Cruciani
ma un firewall tirato su no???????????
se stai riparato nn prendi nulla o non parte nulla;)

scarica un bel sygate free e va tutto bene; be certo finche non tirano fuori qualche cosa che lo estirpi:cry:

Ma il problema di aver attivo un firewall è che mi impedisce di usare sistemi di chat, sessioni online con i giochi, ecc......
In pratica mi viene meno l'utilizzo fondamentale.
La cosa che non riesco a capire è come si diffonde, anche perchè alcuni computer sembrano essere particolarmente esposti, altri meno.
Io possiedo 2 pc, entrambi con adsl telecom alice ed entrambi con Norton antivirus 2004 aggiornato. Eppure su uno il fenomeno "vpc32.exe" non si verifica, sull'altro si.
Vorrei sapere se qualcuno mi potesse spiegare il modo come si diffonde e perchè alcuni pc sembrano + a rischio di altri.
Almeno il Blast e il Sasser colpivano indiscriminatamente
:confused:

da quando ho eliminato il vpc32,ad ogni avvio mi si spara un svchost al 90% e lo devo arrestare...non è l'msblast....

x il resto k

Per il problema dell'utilizzo totale delle risorse di sistema (cpu, file paging) bisogna installare la patch di microsoft,dedicata a questo baco.
http://download.microsoft.com/download/6/0/a/60a564d7-106e-4415-bb0c-36d29ef65a1f/WindowsXP-

Originariamente inviato da Bizkit_ITA
Ma il problema di aver attivo un firewall è che mi impedisce di usare sistemi di chat, sessioni online con i giochi, ecc......
In pratica mi viene meno l'utilizzo fondamentale.
La cosa che non riesco a capire è come si diffonde, anche perchè alcuni computer sembrano essere particolarmente esposti, altri meno.
Io possiedo 2 pc, entrambi con adsl telecom alice ed entrambi con Norton antivirus 2004 aggiornato. Eppure su uno il fenomeno "vpc32.exe" non si verifica, sull'altro si.
Vorrei sapere se qualcuno mi potesse spiegare il modo come si diffonde e perchè alcuni pc sembrano + a rischio di altri.
Almeno il Blast e il Sasser colpivano indiscriminatamente
:confused:

Basta creare delle regole che abilitino questi programmi o giochi e tutto fila alla grande


@maxgilly
nn funge il link

Diavolo di un sito microsoft!!!
Il file si chiama così
WindowsXP-KB828035-x86-ITA.exe

Originariamente inviato da maxgilly
Diavolo di un sito microsoft!!!
Il file si chiama così
WindowsXP-KB828035-x86-ITA.exe
grazie,lo provo ;)

Io non riesco a trovarlo!!!

Originariamente inviato da Aulin86
Io non riesco a trovarlo!!!

Vai qui: http://www.microsoft.com/downloads/details.aspx?FamilyID=f02da309-4b0a-4438-a0b9-5b67414c3833&displaylang=it

Non ho ancora ben capito se è una patch per il vpc32 o è solo uno dei "tanti" pacchetti di sicurezza della Microsoft.
Adesso la provo sul pc infettato e poi vi dico se è risolutiva.

proviamo....

alùr?

Porca miseria un 3d su questo vpc32.exe e non mi era accorto di questo:muro: :muro: :muro: Comunque io ho cancellato il file. Mo riavvio e speriamo che non venga caricato niente trojan in memoria.

Byezzzzzzzzzz:sofico: zzzzzzzzzzzzzzzz

Salve ragazzi come voi anch'io ho contratto questo virus che si diciamo attacca al vpc32 il nome credo che sia w32.spybot.worm volevo farmi una domanda sul forum ho provato a fare come avete detto voi ho ancora ie ho eliminato i file vpc32 da system 32 e dal registro e ho tolto i file tftf dal computer, per ultima cosa ho abilitato il firewall di xp adesso il computer va bene il problema è che quando apro emule non scarico più come una volta ho parecchi problemi credo che sia il firewall che non mi fa connettere a razorback.
Volevo sapere se avete trovato una patch (tipo il sasser e altri)
Grazie a tutti ciao.
p.s.
Bizkit la patch che hai trovato funziona?

Eliminato il file VPC32.exe ed ora non ho più problemi ;)

Byezzzzzzz:sofico: zzzzzzzzzzzzz

Originariamente inviato da perifra

p.s.
Bizkit la patch che hai trovato funziona?

Ancora non ho provato.....devo testare alcune cose.
Non appena ho notizie certe metto un post in questa sezione.

per chi è stato infettato dal file vpc32.exe

avete per caso installato il programma di file sharing Morpheus?

Io no, avevo un altro programma di Filesharing (Winmx). Cmq non c'è un cazz da fare, anche dopo formattone come ti ripresenti su internet ti fulmina.....bastardo come pochi:eek:

no,non ho installato morpheus

no perché ho installato morpheus per una prova e mi sono ritrovato nella cartella dei temporanei il famoso vpc32 (o meglio il worm che crea il vpc32.exe)

beh....male per lui.....doveva scegliere un altro computer dove tentare di copiarsi :boxe: :sborone: :D

Originariamente inviato da eraser
no perché ho installato morpheus per una prova e mi sono ritrovato nella cartella dei temporanei il famoso vpc32 (o meglio il worm che crea il vpc32.exe)

beh....male per lui.....doveva scegliere un altro computer dove tentare di copiarsi :boxe: :sborone: :D

cmq ti ha preso con le braghe calate se ti è entrato......nel pc
:D

Praticamente sotto emule o overnet stesso problema anche aver eliminato il VPC32.dll...forse l'ho ripreso o non devo usare più i P2P (con la connessione che ho immaginate....ISDN64K:mad: :mad: :mad: ????? Questo worm praticamente intacca la rete P2P?????


Byezzzzzzzz:sofico: zzzzzzzzzzzz

Eppure anche dopo aver "ripulito" il pc il vpc32 si ripresenta, anche senza far uso di programmi P2P.......

Originariamente inviato da Dante_Cruciani
cmq ti ha preso con le braghe calate se ti è entrato......nel pc
:D

don't worry ;) è già sotto i ferri ;)

Originariamente inviato da eraser
don't worry ;) è già sotto i ferri ;)

Pensaci tu eraser a trovare la soluzione definitiva....

Ciao a tutti sono nuovo...complimenti X il tread...molto interessante.Anche io sono stato colpito già da parekki mesi...e fino a quando ho usato Kaspersky e agnitum outpost come firewall,non mi sono curato di chi dei 2 lo teneva a bada e se l'avesse eliminato,ma non ho avuto problemi...tranne dal fatto che avendo tanti programmi in esecuzione e i 2 in questione,il mio p4 di primissima generazione con ram rd quindi vi lascio immaginare,era troppo lento.Così decido di togliere il kaspersky e e il firewall e mi si ripresenta sto bastXXXo.Cerco sulla rete e becco il vostro tread e leggo attentamente.Ora,il kaspersky lo identificava e me lo faceva eliminare e quindi è per questo che non ho il vpc32 da nessuna parte ma fattostà che non lo ho.Ho installato di nuovo l'agnitum(è ottimo ve lo consiglio)e messo quella patch di win che avete linkato.Dopo questo post,riavvio...X ora...visto che non se n'è + parlato,novità!?qualche Fx o patch?Sul sito di Microzozz non c'è niente che parli di sto backdoor...assurdo... -.- grazie e scusate se vi ho raccontato la novena ma credo che + precisamente si posti e meglio è ;)
PS
Uso mirc,emule anche se non credo che siano Emule la causa di tutto :)

Novità?

Ho tolto il firewall di xp (me l'ha chiesto il mulo...:D) e il famigerato vpc32 è riapparso, rallentandomi il sistema fino a paralizzarlo del tutto (costringendomi a resettare tra imprecazioni varie)... :muro:

Novità?

Ho tolto il firewall di xp (me l'ha chiesto il mulo...) e il famigerato vpc32 è riapparso, rallentandomi il sistema fino a paralizzarlo del tutto (costringendomi a resettare tra imprecazioni varie)..

sygate fa bene il suo lavoro,accanna quello di xp e emigra!!!

il mulo pascolerà alla grande fidati

Originariamente inviato da Dante_Cruciani
sygate fa bene il suo lavoro,accanna quello di xp e emigra!!!

il mulo pascolerà alla grande fidati
Credevo che il mulo fosse incompatibile con qualsiasi tipo di firewall...

Ma il sygate è difficile da configurare? Mi potresti suggerire una guida?
Di firewall m'intendo poco... :boh:

Ho trovato questa guida
http://www.sicurezzainrete.com/Sygate_5.5_1.htm

:)

Comunque non ho avuto problemi da quando ho attivato Sygate

Byezzzzzzzzz:sofico: zzzzzzzzzzzzz

Originariamente inviato da ALIEN3
Comunque non ho avuto problemi da quando ho attivato Sygate

Byezzzzzzzzz:sofico: zzzzzzzzzzzzz
Anche se ce l'ho da ieri, non posso che confermare. :)

nulla di nuovo?????:muro: :muro: :muro:

salve a tutti

anche io sono stato colpito dal virus oggetto di questo thread..

le ho provate in tutti i modi, ho eliminato il file con il nod32 (anche se poi facendo una scansione il nod mi trovava nuovamente il file...però in c:\windows\system32 non c'era!!! :confused: ), ho cercato "vpc32" nel registro ed ho eliminato tutte le chiavi, ma il problema persiste

ora come ora riesco a navigare più o meno tranquillamente, ma se apro il mIRC dopo un po' si disconnette (da irc soltanto) e ho la barra di start inutilizzabile e devo praticamente riavviare "forzatamente" (cioè premendo reset sul case)

adesso per esempio c'è un processo svchost.exe (ma ce ne stanno 4) che si prende il 100% di utilizzo della cpu

non ho installato firewall, ma ho appena scaricato il sygate e provvederò a metterlo su

altri consigli sul da farsi? vi prego, sto impazzendo :cry:

se formatti risolvi.

quindi tu dici di formattare e alzare il firewall PRIMA di connettermi per la prima volta?

leggendo il thread non mi pare che gli altri abbiano risolto il problema formattando, anzi...prima o poi il worm è ricomparso nonostante il format

Originariamente inviato da NuT
salve a tutti

anche io sono stato colpito dal virus oggetto di questo thread..

le ho provate in tutti i modi, ho eliminato il file con il nod32 (anche se poi facendo una scansione il nod mi trovava nuovamente il file...però in c:\windows\system32 non c'era!!! :confused: ), ho cercato "vpc32" nel registro ed ho eliminato tutte le chiavi, ma il problema persiste

ora come ora riesco a navigare più o meno tranquillamente, ma se apro il mIRC dopo un po' si disconnette (da irc soltanto) e ho la barra di start inutilizzabile e devo praticamente riavviare "forzatamente" (cioè premendo reset sul case)

adesso per esempio c'è un processo svchost.exe (ma ce ne stanno 4) che si prende il 100% di utilizzo della cpu

non ho installato firewall, ma ho appena scaricato il sygate e provvederò a metterlo su

altri consigli sul da farsi? vi prego, sto impazzendo :cry:

Formatta e ricordati si installare sygate e spybot.

Byezzzzzzzz:sofico: zzzzzzzzzzzzzzz

sto virus è proprio bastardo, e IE è proprio una ciambellona.
cmq levo il pc-cillin,che non mi fa andare il medusone,e metto sygate,sperando che bill ci dia una patch in fretta.

Ma abbondonare IE per Firefox????? Cioè qualche sito incompatibile lo vedi con IE ma alla fine avresti pochissime probabilità di prendere qualcosa by IE.

Byezzzzzzzz:sofico: zzzzzzzzzzzz

Originariamente inviato da ALIEN3
Ma abbondonare IE per Firefox????? Cioè qualche sito incompatibile lo vedi con IE ma alla fine avresti pochissime probabilità di prendere qualcosa by IE.

Byezzzzzzzz:sofico: zzzzzzzzzzzz

Potresti avere ragione, ma non è colpa di IE se si prende questo maledetto vpc32.exe

Comunque oramai è OBBLIGATORIO avere un qualsiasi firewall prima di connettersi... che schifo che è diventato il web :)

sto seguendo con entusiasmo la vostra lotta contro sto virus ...
qualcuno sa dirmi se colpisce altri sistemi operativi ... WinMe ... 2000 ect ...GRAZIE

Originariamente inviato da VittoriOnorato
sto seguendo con entusiasmo la vostra lotta contro sto virus ...
qualcuno sa dirmi se colpisce altri sistemi operativi ... WinMe ... 2000 ect ...GRAZIE

per quanto ne possa capire io..penso proprio di sì..

Originariamente inviato da ALIEN3
Formatta e ricordati si installare sygate e spybot.

Byezzzzzzzz:sofico: zzzzzzzzzzzzzzz


che pa**e, ho formattato 2 giorni fa...:muro: :muro: :muro: :ncomment: :ncomment: :ncomment: :ncomment: :ncomment: :ncomment: :ncomment: :ncomment: :ncomment:

Originariamente inviato da Ikozzo
Potresti avere ragione, ma non è colpa di IE se si prende questo maledetto vpc32.exe

infatti, io qui sto usando firefox e do per certo che IE non l'ha toccato nessuno, solo una volta mia sorella per checkare la posta, ma il pc era già infetto...

Originariamente inviato da lucafes
sperando che bill ci dia una patch in fretta.

lo spero anche io..anzi aspetto la patch, tanto per ora se devo navigare lo faccio senza troppi affanni...non chatto, ma in questi giorni non ho poi tutto questo tempo per farlo :D

Originariamente inviato da NuT
lo spero anche io..anzi aspetto la patch, tanto per ora se devo navigare lo faccio senza troppi affanni...non chatto, ma in questi giorni non ho poi tutto questo tempo per farlo :D

Ma sei ancora infetto? Per fortuna io non l'ho mai preso :sofico: :sofico:

Cmq mi rispondi senza mandare limatoni, è grave NuTTino mio :p @@@@@@@@@@@

non so se sono ancora infetto..te l'ho detto, il "fenomeno" si è presentato solo quando mi sono connesso a irc...dovrei fare una prova, ma un po' mi scoccia :p e cmq è sempre colpa del tuo script _!_ voglio il mio piccì :cry: domani giornata di test YEAH :sborone:

Salve ragazzuoli! ieri ho formattato ma da quando mi sono collegato per aggiornare il sistema mi ritrovo con questo vpc32.exe in memoria. Ho notato però altri file strani nel task manager come sysmrk.exe wdfmgr1.exe. Mi fareste sapere se appaiono anche a voi ?

Sono sicuro che prima della formattazione non c'erano

no a me questi due processi non compaiono

mi sa che siamo in molti che ce lo siamo beccati appena formattato...
insieme a questo,non so se sia legato meno,mi sono beccato un paio di volte il WORM_RBOT,però almeno questo me lo mette in quarantena.

Originariamente inviato da puntovale
Salve ragazzuoli! ieri ho formattato ma da quando mi sono collegato per aggiornare il sistema mi ritrovo con questo vpc32.exe in memoria. Ho notato però altri file strani nel task manager come sysmrk.exe wdfmgr1.exe. Mi fareste sapere se appaiono anche a voi ?

Sono sicuro che prima della formattazione non c'erano

Cerca su google e vedi che ti dice...
Io non li ho :)

raga guardate qui:

http://www.giantcompany.com/antispyware/research/spyware/spyware-Rbot.aspx


se l'inglese non mi tradisce dice che si tratta del worm rbot e che tra i file che crea cè vpc32.exe è quelli che vi ho detto prima

vedete un po non sono molto pratico con l'inglese

ma infatti da quanto ho capito io, questa è una delle varianti del worm rbot...

Originariamente inviato da lucafes
mi sa che siamo in molti che ce lo siamo beccati appena formattato...
insieme a questo,non so se sia legato meno,mi sono beccato un paio di volte il WORM_RBOT,però almeno questo me lo mette in quarantena.

beh penso che allora il worm per diffondersi si serva dei bug di xp che ci sono quando un sistema è appena formattato e quindi "verginello", cioè senza tutti gli hotfix e le patch per il SO...altrimenti non si spiega...

Anco io mi sono beccato il rompissimo vpc32.exe
In questi giorni sembra sia andato via (sgrat sgrat....)
Cmq si è rivelato un ostico avversario.
Leggendo le vostre esperienze penso di aver fatto bene a rimandare la formattazione del pc,.
Una cosa che non capisco: sono moltissime le persone affette da questa piaga, non sono usciti articicoli in merito, né soprattutto IMPORTANTI aggiornamenti di antivirus fatti a modino per debellarlo.
Ah per la cronaca uso avast + kerio firewall

Originariamente inviato da Ramsey
Una cosa che non capisco: sono moltissime le persone affette da questa piaga, non sono usciti articicoli in merito, né soprattutto IMPORTANTI aggiornamenti di antivirus fatti a modino per debellarlo.



:O

finchè lo zio bill non mette una fix in giro bisogna tenere il firewall sempre allerta e tenere gli occhi aperti e in special modo se losche figure(sorelle, fratelli & c.) ci mettono le zampette sopra!!

ma mi ripeto con il firewall ben settato non ci sono problemi;)

Infatti...comunque devo dire che da quando ho attivato il firewall mai più un problema.....(E dir la verità che io proprio me ne fregavo di usarne uno.....e quanti problemi ho patito)

Byezzzzzzzz:sofico: zzzzzzzzz

si ma infatti dovrebbero darsi una mossa...

Originariamente inviato da Ramsey
Una cosa che non capisco: sono moltissime le persone affette da questa piaga, non sono usciti articicoli in merito, né soprattutto IMPORTANTI aggiornamenti di antivirus fatti a modino per debellarlo.


allora (mi ero scordato di questo thread :D)

mi sembra che più o meno la maggior parte delle cose sia stata detta.
É una variante del worm RBOT, si copia all'interno della directory system32 come vpc32.exe e aggiunge la voce sul registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]

"Microsoft Update"="C:\%systemdir%\vpc32.exe"

Una volta attivo tenta di connettersi ad un server irc e rimane in ascolto sulla porta tcp 113.

Crea un Mutex denominato [JuVeOwnZ].

Una volta connesso al server rimane in attesa di comandi che possono variare da attacchi DoS a scanning di range di ip alla ricerca di eventuali vulnerabilità quali la famosa MS04-011 o una vulnerabilità in SQL Server 2000 (forse anche MS03-49).
Permette di utilizzare la webcam per spiare da remoto l'utente ignaro, ha funzioni di keylogger e utilizza lo sniffer carnivore.
Ha funzioni di server SOCKS4 e tenta di rubare i cd-key di alcuni giochi e il Microsoft Windows Product ID.

Per ora c'ho sonno :D basta :D

io ero appestato da vpc32.exe con alice, ma l'housecall della trendmicro mi ha risolto il problema!! poi ho utilizzato anche uno startup manager per rimuoverlo ed ora con nod32 + zonealarm vado tranquillo...provate anche voi i programmi che ho usato...usate uno startup manager per eliminarlo e provate anche il virus scan online della trendmicro, per me contro vpc32.exe ha funzionato!

interessante la teoria dello startup manager...tu quale hai usato?

Ho usato lo startup inspector for windows (che nome banale :D)...
Il più delle volte basta un uso sapiente di questo + il task manager di windows + un firewall (non quello di xp) per riconoscere virus e/o programmi bastardi che gli antivirus non rilevano!! Almeno, questa è la mia piccola esperienza...

ho scaricato quello startup manager, ma non ho risolto niente..il problema è che ho 4 svchost tra i processi e uno di questi mi sa che è quello "infetto" ma non so riconoscere quale :(

Io cmq ho utilizzato uno startup manager per controllare quali processi si caricavano all'avvio (e fra questi c'era vpc32.exe)...

Svchost.exe ce l'ho anch'io in 4 belle copie in esecuzione, ma non penso sia infetto...piuttosto volevo chiedere se è necessario che si colleghi alla rete o se posso "zittirlo" con zonealarm...il file aveva richiesto di connettersi alla rete e gliel'ho permesso, subito dopo ha richiesto di poter agire come server e ovviamente gliel'ho proibito....

a me il pc inizia ad andare in tilt dopo che do l'accesso ai 4 svchost...

up

up

Ma gli up a che servono, a cosa si deve rispondere? :)

eraser aveva fatto un post e forse ci si aspetta un nuovo "aggiornamento" da parte sua :rolleyes: visto che per come la intendo io, mi pare che avesse lasciato qualcosa in sospeso :)

vabbè pazienza..io aspetto ancora un fix da m$ :ncomment:

risolto, ecco la soluzione:

anke io avevo questo problemone, è il virus WORM_RBOT...causato dal file vpc32.exe.....
ed ho APPENA RISOLTO....
ho messo qui il mio problema con il post finale con la soluzione.....-->http://67.19.227.28/showthread.php?t=17474

Cmq vi riassumo ke dovete fare:

dovete seguire queste istruzioni:
http://www.ilsoftware.it/av.asp?ID=147

e queste:
http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?Vname=WORM_AGOBOT.XM

e poi mettete questo fix di microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyId=84FC577D-F2D5-47B8-AB98-77BA7501B00B&displaylang=it

RIASSUNTO:
- cancellare tutte le voci vpc32.exe dal Registro di sistema e riavviare,
- eliminare il file vpc32.exe dalla cartella system32
- nei Servizi di Win xp impostare il servizio "Server" su disabllitato" e riavviare
- in esegui scrivere msconfig, andare in avvio e controllare se c sn ancora processi vpc32 attivi
- istallare il fix/patch di microsoft di cui ho messo il link più sopra


se avete dei dubbi kiedete pure!

Originariamente inviato da master3000
- nei Servizi di Win xp impostare il servizio "Server" su disabllitato" e riavviare


questo da dove e/o come lo faccio?

ma non si "rischia" la funzionalità del pc?

Originariamente inviato da NuT
eraser aveva fatto un post e forse ci si aspetta un nuovo "aggiornamento" da parte sua :rolleyes: visto che per come la intendo io, mi pare che avesse lasciato qualcosa in sospeso :)

vabbè pazienza..io aspetto ancora un fix da m$ :ncomment:

il mio post, seppure lasciato in sospeso, l'ho fatto proprio in questa pagina un pò piu sopra :)

le istruzioni per rimuoverlo ci sono ;)

Originariamente inviato da NuT
questo da dove e/o come lo faccio?

ma non si "rischia" la funzionalità del pc?
pannello di controllo--> prestazioni e menutenzioni ---> strumenti di amministrazione --> servizi ---> server --> clikki 2 volte e metti disabilitato

no nn risci le funzionalita del pc